Depuis 22 ans, tous mes ordinateurs sont sous Linux. Je n'installe que les applications disponibles dans le dépôt et aucun autre appareil n'est branché sur mon réseau. Quasiment tout est donc Libre ou Open Source, transparent, j'en ai la maîtrise et mes données sont sécurisées (fichiers sensibles chiffrés, sauvegardes…). Je peux m'en servir sereinement pour accéder à mes comptes bancaires ou médicaux et mes données personnelles, mes contacts sont bien protégés.
Au travail, j'ai eu l'autorisation d'installer Linux sur mon poste au lieu d'avoir un portable sous Windows avec plein de logiciels inutiles et de mouchards. Nickel, je peux y consulter mes messages privés de temps en temps, le brancher sur mon réseau personnel pendant le télétravail et sinon sur le Wi-Fi de l'établissement.
Mais le RSSI a imposé d'installer Microsoft Defender APT sur tous les postes, y compris les postes Linux. Je me retrouve donc avec un poste auquel je ne fais plus confiance et que je ne veux pas brancher dans mon réseau. J'ai donc demandé un ordiphone et un abonnement avec un forfait pour les données pour y connecter l'ordinateur du travail pendant le télétravail.
Si une entreprise se fait infiltrer (ce qui arrive sans cesse car elles sont toutes sous Windows) et que l'utilisation d'un poste vérolé ou avec des logiciels intrusifs provoque des fuites de données personnelles quand on le branche sur son réseau lors du télétravail, l'entreprise est-elle responsable ?
Journal L'entreprise est-elle responsable des fuites de données dans le cadre du télétravail ?
19
déc.
2022
# Oui mais ce n’est pas la bonne question
Posté par Aeris (site web personnel) . Évalué à 7. Dernière modification le 19 décembre 2022 à 21:03.
Dans tous les cas oui, l’entreprise est responsable de par le RGPD et le fait qu’elle aurait du mettre en place les moyens techniques et opérationnels pour l’empêcher.
La vraie question à se poser est surtout : est-ce que toi tu es responsable.
En effet l’un n’empêche pas l’autre et tu peux très bien avoir le salarié ET l’entreprise de considérés comme responsable et condamnés pour ça.
L’exemple est extrême avec un salarié qui a volontairement fuité des données, mais les deux ont fini condamnés, le salarié pour la fuite et l’entreprise pour « responsable du fait d’autrui ».
Tu serais éventuellement aussi responsable si tu n’avais pas tenu compte des préconisations de ton RSSI, mais sinon non.
# Une autre question que je me pose
Posté par cram51 . Évalué à 10.
Si quelqu'un s'introduit sur mon réseau personnel et vole mes données personnelles : numéro de carte bleu, mails, adresse, que sais je d'autre, en passant par l'ordinateur pro (que m'a fourni et imposé mon entreprise) pendant le télétravail.
En admettant que je n'ai rien installé d'autre sur ledit ordinateur que les logiciels autorisés par l'entreprise ainsi que ceux obligatoires, notamment ceux pour la sécurité. Meme si ceux la comportent notoirement des failles ou autre joyeusetés …
Qu'en est il des responsabilités ?
# N'importe quoi...
Posté par pasBill pasGates . Évalué à 0.
a) Tu n'as en rien la maitrise de ton système. Tu crois l'avoir, cela s'arrète là
b) Ne pas faire confiance a une machine d'entreprise car elle a Defender APT me fait franchement rigoler. Tu ne comprends visiblement pas grand chose à la sécurité si avoir ce logiciel te fait péter un cable
c) Si j'étais ton bosse je t'enverrais paître avec ta demande d'ordiphone et abonnement. Tu n'as absolument rien comme information te permettant de dire que ce système pose un risque
d) l'idée qu'une entreprise se fait infiltrer car elle a Windows renforce l'image que tu donnes de quelqu'un qui ne comprend rien à la sécurité
[^] # Re: N'importe quoi...
Posté par Cyprien (site web personnel) . Évalué à 10.
Du coup, je suis allé voir à quoi servait ce logiciel (https://learn.microsoft.com/fr-fr/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint?view=o365-worldwide) :
Bon, désolé, ça a l'ai super puissant, mais j'ai rien compris (quelqu'un a compris quelque chose ? Je suis un idiot ?)
Donc, je vais un peu plus loin :
C'est un truc de machine learning qui observe le comportement de ton PC et détecte si il a été hacké ?
Bon effectivement, j'aimerais autant que l'on ne m'oblige pas à installer ça sur ma machine…
Toi qui a compris la sécurité, tu peux nous expliquer ?
[^] # Re: N'importe quoi...
Posté par Astaoth . Évalué à 10.
Je pense que n'importe quel vendeur d'antivirus moderne peut prétendre au même bullshit commercial de nos jours.
Par contre la différence entre Windows Defender et les autres AV, c'est qu'ils ne détectent pas de simples POC de malwares, contrairement à d'autres. C'est toujours fascinant de voir ce qu'il laisse passer.
Emacs le fait depuis 30 ans.
[^] # Re: N'importe quoi...
Posté par ted (site web personnel) . Évalué à 10.
Il n'a pas à installer ça sur sa machine, c'est la machine de l'entreprise. Par contre ce logiciel scrutera son réseau personnel si il y connecte ce PC. Ça ne me plairait pas non plus, mais il y a des moyens d'éviter ça.
Un LUG en Lorraine : https://enunclic-cappel.fr
[^] # Re: N'importe quoi...
Posté par pasBill pasGates . Évalué à 1.
Ces EDR ne vont typiquement pas scanner le réseau, ils se contentent de regarder les connexions locales
[^] # Re: N'importe quoi...
Posté par flan (site web personnel) . Évalué à 10.
C'est ce qu'on appelle classiquement un EDR (Endpoint detection and response), qui va au-delà d'un antivirus classique :
[^] # Re: N'importe quoi...
Posté par pasBill pasGates . Évalué à 2.
Voir le message de flan plus bas.
J'aimerais comprendre, c'est quoi ta peur de l'IA içi ?
[^] # Re: N'importe quoi...
Posté par devnewton 🍺 (site web personnel) . Évalué à 10.
Bonjour Monsieur PasGates,
Linuxfr Apété Modérateur a detecté de l'impolitesse et de l'agressivité dans votre post, pourriez-vous reformuler votre message de façon plus courtoise et plus respectueuse de la charte du site ?
Un scan de votre réseau nous indique également la présence de sex toys connectés et des échanges de fichiers de type "sexy bill tout nu.avi". Notre partenariat avec Debian eSanté nous permets de vous recommander une thérapie adaptée à vos besoins. N'hésitez pas à nous contacter.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: N'importe quoi...
Posté par SpaceFox (site web personnel, Mastodon) . Évalué à 4.
Je ne comprends pas quelque chose dans ce message. D’après cette page tu es modérateur, devnewton.
Donc, le paragraphe qui commence par « Linuxfr Apté Modérateur » peut être comprise comme un message de modération (à juste titre : le message pointé pourrait être plus courtois).
Mais le suivant et dernier paragraphe contient de la moquerie et un appel à se faire soigner, qui d’évidence n’est pas sérieux (enfin j’espère ?), ce qui est assez malvenu dans un message de modération.
Et la signature dit littéralement que le post est une grosse connerie à ne pas prendre au sérieux.
Du coup, c’est un message de modération ou juste une blague ?
La connaissance libre : https://zestedesavoir.com
[^] # Re: N'importe quoi...
Posté par devnewton 🍺 (site web personnel) . Évalué à 1.
C'est de la soft modération.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: N'importe quoi...
Posté par orfenor . Évalué à 4.
devnewton est coutumier des messages à triple détente humoristique. Tu devrais donc prendre son dernier paragraphe comme un looping ironique presque auto-récursif.
[^] # Re: N'importe quoi...
Posté par pasBill pasGates . Évalué à 4. Dernière modification le 21 décembre 2022 à 06:06.
Aucune aggressivité, simplement un constat.
Si un employé vient me dire qu'il refuse d'avoir l'EDR d'entreprise sur sa machine de bureau pour des raisons qui ne tiennent pas debout je lui offre de choisir entre changer d'avis et trouver un autre boulot. Il met mon entreprise en danger avec ses âneries et fait preuve d'un manque de jugement incroyable.
[^] # Re: N'importe quoi...
Posté par devnewton 🍺 (site web personnel) . Évalué à 10.
Ses raisons tiennent debout, mais ne te plaisent pas, c'est très différent.
Ce n'est jamais ton entreprise. Tu es soit un actionnaire à responsabilité limité (donc chut), soit salarié comme lui…
Par contre, tu utilises son réseau. Tu devrais obtenir son autorisation avant d'y mettre tout matériel ou logiciel.
Quant au chantage à l'emploi, c'est idiot: aujourd'hui les entreprises du secteur peinent à recruter et le télétravail est un critère de choix pour les candidats.
Bref, au lieu de s'entêter dans le mal management, les entreprises doivent travailler pour trouver de bonnes solutions, même "hors les murs"(on parle beaucoup du télétravail aujourd'hui, mais depuis longtemps les entreprises avaient des postes mobiles, ne serait-ce que parce qu'elles ont plusieurs sites, des commerciaux, des consultants externes…).
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: N'importe quoi...
Posté par pasBill pasGates . Évalué à 1.
Ses raisons ne tiennent pas debout justement. Je n'ai jusqu'à maintenant vu aucune critique qui a une once de réalisme, juste du FUD basé sur de l'ignorance et ses idées préconçues.
Que l'entreprise lui décrive ce qu'est le laptop, les apps installées, etc… tout a fait, c'est essentiel.
Mais aller nourrir ses idées préconçues en lui permettant d'enlever un outil essentiel à la sécurité du réseau d'entreprise non. Le jour où il viendra avec un problème concret on en reparle, d'ici-là il devrait penser à s'attacher aux faits, pas à ses idées préconçues qu'il est incapable d'arguments proprement.
Je souligne le dernier point parce que j'imagine qu'il est informaticien, pas vendeur de carottes, c'est son job de faire des choix techniques argumentés et savoir dire "je ne sais pas" ou "je ne suis pas sur" quand la situation le demande.
[^] # Re: N'importe quoi...
Posté par FDF (site web personnel) . Évalué à 10.
En même temps, l’entreprise va se servir de son réseau personnel.
Il n’est pas aberrant qu’il demande à l’entreprise de lui prouver que cette utilisation ne sera pas dangereuse pour le réseau.
C’est à l’entreprise de prouver que ce qu’elle propose est sans danger. S’il a des doutes, il faut lui expliquer, lui apprendre, même si les doutes ne sont pas fondés.
Si l’entreprise répond : « il n’y a pas de risque, ta question est débile », j’aurais tendance à pense que la personne serait tout à fait légitime à dire mon réseau est privé et donc votre machine ne va pas dessus.
Je ne suis pas sûr qu’on avance avec ce type de réponse.
[^] # Re: N'importe quoi...
Posté par pasBill pasGates . Évalué à 2.
Tout a fait.
Mais avoir des doutes c'est "j'ai entendu des rumeurs sur X, je voudrais des éclaircissements"
et pas
"X est rempli de mouchards, je veux autre chose et je ne veux pas de cet EDR qui lui aussi est dangereux" quand il n'a absolument aucun élément concret derrière ces mots.
Le problème dans sa prose est qu',il affirme plutôt que questionner.
[^] # Re: N'importe quoi...
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 9.
À ce compte-là, personne ne maîtrise rien. Sérieusement, je pense qu'un utilisateur averti d'un système libre maîtrise justement beaucoup mieux ce qui se passe sur son ordinateur, que l'entreprise ne maîtrise ce qui se passe sur ses ordinateurs.
[^] # Re: N'importe quoi...
Posté par pasBill pasGates . Évalué à -1.
Je lis ce qu'il écrit et j'en déduis qu'il ne comprend pas grand chose à la sécurité informatique, et probablement à l'informatique en général.
De cela découle la conclusion qu'il ne maîtrise pas son système.
[^] # Re: N'importe quoi...
Posté par Nimrud . Évalué à 10.
Ce que tu sembles ne pas comprendre c'est que le problème de ton message n'est pas tant sur le fond de ton propos que sur sa forme:
Le ton n'est pas des plus courtois et le verbe paître renvoie donc ton interlocuteur à un statut de simple herbivore ruminant. À titre personnel, si mon responsable ou mon employeur se permettait de s'adresser à moi de cette façon, je ne laisserais pas passer, il y a bien trop de manque de respect.
Par ailleurs, il se pourrait en effet que l'auteur de ce journal n'ait pas ton niveau technique et de compréhension du sujet mais dans ce cas, tu pourrais simplement l'aider et lui expliquer pourquoi il se trompe. C'était une coutume ici qui semble de plus en plus se perdre au profit de messages peu agréable voire totalement discourtois.
[^] # Re: N'importe quoi...
Posté par pasBill pasGates . Évalué à 2.
La meilleure aide à lui donner n'est pas les détails techniques du cas présent mais lui faire comprendre que lancer des affirmations sans aucun élément concret qu'il puisse articuler va être problématique pour la suite de sa carrière.
Et c'est l'élément principal de ma prose : il balance des affirmations en l'air. Que ce soit sur Windows ou sur le fonctionnement d'une voiture n'est au final pas très important.
[^] # Re: N'importe quoi...
Posté par devnewton 🍺 (site web personnel) . Évalué à 8.
Les systèmes privateurs choisissent de s'autoFUDer : ils cachent leur code, on ne peut pas vérifier ce qu'ils font, donc ça attise la méfiance.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: N'importe quoi...
Posté par pasBill pasGates . Évalué à -4.
Ton commentaire est propriétaire ? Parce que c'est en effet un bel exemple de fud.
[^] # Re: N'importe quoi...
Posté par Nimrud . Évalué à 6.
__Je n'ai pas eu l'impression qu'il lançait explicitement des affirmations fausses (non factuelles) sur le fonctionnement de Windows dans son propos. Je pense que tu as surtout extrapolé mais je peux me tromper.
Ce n'est pas faux en soit, c'est même totalement avéré et il ne parle pas ici de sécurité. Certes certaines distributions GNU/Linux aussi me proposent des logiciels inutiles mais là n'est pas la question, il ne dit pas que ce n'est pas le cas.
Il parle ici de confiance, donc de ressenti, encore une fois il ne "balance pas une affirmation en l'air". Il pense, comme beaucoup ici (dont moi), qu'avec un code fermé et non auditable, on ne peut pas avoir autant confiance dans ce que fait le logiciel.
Là c'est plus ambiguë, et pas tout à fait vrai. Le lien de causalité n'est selon moi pas le bon. Le plus grand nombre des entreprises qui se font infiltrer sont en effet sous Windows mais uniquement parce que cet OS est plus répandu et plus ciblé par les attaques (car plus répandu). C'est simplement statistique.
En revanche, il n'y pas ici de fausse affirmation sur le fonctionnement de Windows.
Par ailleurs, qu'importe qu'il se trompe et que tu penses que la meilleure aide soit de le lui dire. Je ne suis pas persuadé que ta façon de le dire soit la bonne. Quand un des mes collaborateurs se trompe, je ne me permet pas de l'envoyer promener ni de lui dire à quel point il serait prétendument incompétent voire stupide. À part, le vexer et le blesser, je ne suis pas ça lui apporte quoi que ce soit.
P.S. Loin de moi l'idée de vouloir déclencher un "débat" stérile ou troller, n'hésitez donc pas à modérer si vous ne trouver pas mon propos utile.
[^] # Re: N'importe quoi...
Posté par devnewton 🍺 (site web personnel) . Évalué à 9.
Windows a une faiblesse structurelle: l'absence de système de paquets empaquetés soigneusement comme cela se fait pour debian.
Un autre point est la moindre de sensibilisation des utilisateurs à la sécurité.
Mais avec la massification (mettons des postes Linux sans former les gens, what could go wrong?) et des distribs poubelles (coucou Snap), Linux pourrait être au même niveau de pas confiance que Windows.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: N'importe quoi...
Posté par pasBill pasGates . Évalué à -1. Dernière modification le 24 décembre 2022 à 23:07.
Je vais me contenter de laisser cela ici, c'est tout frais :
https://twitter.com/chompie1337/status/1606334674338447360
[^] # Re: N'importe quoi...
Posté par octane . Évalué à 4.
et on peut citer également un des tweet qui suit:
"And yet, surveys have shown that the Linux kernel (and much of the Linux software stack overall) is patched for security holes a magnitude faster than any other vendor."
Ceci dit, oui, le point de vue de Linus est intéressant. Un bug est un bug et doit être corrigé. Ajouter des labels "CVE" ou "securité" ne fait qu'ajouter des problèmes, flatte l'égo des découvreurs de faille et ne résoud rien. Donc un bug == un bug, et c'est tout.
[^] # Re: N'importe quoi...
Posté par pasBill pasGates . Évalué à 1.
Justement non
Un bug sécurité n'est pas juste un bug, et ne pas clarifier que ces bugs ont un impact sécurité est un énorme problème.
Un bug qui t'empêche disons de connecter une caméra USB moi je ne peux rien en faire pour détruire ta vie ou tes finances.
Un bug qui me donne accès a distance a ta machine par contre, cela me permet de choper tout ce que tu fais sur ta machine : tes photos en string léopard, les mots de passe de ta banque, tes clefs Bitcoin, etc..
Un bug sécurité est très différent et c'est bien pour cela que le monde de la sécurité trouve l'approche des gens du noyau complètement stupide.
[^] # Re: N'importe quoi...
Posté par octane . Évalué à 6.
donc un bug de sécurité a un impact … de sécurité? C'est bien ça?
Petit point de vue de la lorgnette. Imaginons que je monte un service de vidéosurveillance. Ton bug de caméra USB va détruire mes finances. A l'opposé, ton bug CVSS maxi plus bestof 11.0 qui permet de leak 2 bytes de la mémoire kernel, je m'en contrefiche. Ton bug ksmbd? mouhahaha, mais qui fait ça, en vrai? Par contre, m'expliquer qu'à cause de spectre, je vais perdre 30% de perfs, ça impacte fortement mes achats de serveurs. Et devoir subir un audit ou un zozo reprend la liste des CVE critiques genre "une socket mal fermée peut dans certains cas provoquer un leak de fd" et m'empêche d'avoir une certification car j'ai pas redémarré le datacenter suite à la dernière vuln alakon, bah ça impacte les finances.
oui, alors ce genre de bug, c'est pas tous les bugs taggés "sécurité" qui permettent de faire ça, et c'est un problème (de taxonomie).
Et pour mes photos en string léopard, j'en suis très fier et je les poste publiquement, donc au pire si le pirate me les vole, ça me fera un backup de plus :D [et si le pirate voit mon niveau de finance, ça l'attendrira et il me donnera du fric devant le vide abyssal demon compte en banque]
Parcequ'ils ont le nez dans le guidon de la sécuritay! sécuritay!
99% des bugs sécurité valent pas un fifrelin. Publie une chaîne complète qui bypasse l'intégralité des défenses, et là, je veux bien en reparler. Et comme 99% des bugs sécu, c'est le fait des gens qui ont un ego démesuré, qui voudraient que le monde s'arrête pour prendre le temps de les flatter (et corriger le bug), ouais je crois que les devs kernels ont pris la bonne décision: un bug est un bug, et on le corrige. Pour le security circus, les posts de blogs, les name dropping, les petites glorioles, les "c'est la fin du monde", c'est pas par là.
[^] # Re: N'importe quoi...
Posté par aiolos . Évalué à 3.
Tu sais qu'on associe aux CVE des score de sécurité et des listes de vecteurs d'attaques ? Ce qui permet, par exemple, aux gens de décider si c'est plus ou moins important de le corriger que le bug majeur sur leur produit ?
Super, le retour de l'argument "m'en fous, j'ai rien à cacher !"…
[^] # Re: N'importe quoi...
Posté par pasBill pasGates . Évalué à 1.
Mais mon cher, tu mélanges tout.
Oui les name drop et autres tentatives de faire grossir les effets d'un bug sont pathetique, mais cela ne change rien au fait qu'un bug de securité, c'est à dire un bug qui est exploitable hein sinon c'est pas un problème de sécurité, est quelque chose qui doit être clairement marqué, histoire que les gens puissent évaluer si cela les concerne, si ils doivent patcher vite, etc…
C'est justement à cela que ces CVEs et ces scores CVSS servent, et non, les défenses du kernel, elles ne font pas tout, pour une attaque en local notamment (ex: KASLR ne sert à rien), et "local", avec les containers, le serverless, etc… et toutes ces boites qui font du multi-tenant sur une même machine cela concerne beaucoup de machines de nos jours.
[^] # Re: N'importe quoi...
Posté par octane . Évalué à 3.
Et c'est là ou ça devient subtil. "qui est exploitable", peux tu me définir cette notion?
Parceque typiquement, aujourd'hui qu'est ce qui te permet de dire qu'un bug va être exploitable ou pas? Genre un overflow quelconque. Souvent, c'est "bah ça dépend, on sait pas trop, à priori y'a des défenses, ou ptet le compilo qu'a sanitizé l'array, mais faut voir, et y'a de l'aslr donc si y'a pas de leak ça devrait être inexploitable, sauf si etc etc…". J'ai vu des vulns totalement inexploitables (le compilo qui ajoute un abort() si tu débordes), du coup, on dit que c'est pas un bug de sécurité puisqu'inexploitable? mais du coup, faut tagger la vuln en sécu ou pas? Et si quelqu'un compile différemment?
J'ai déjà vu pas mal de bulletins microsoft qui t'annoncent un bug avec exploitability index très bas, en mode, "balek frr, va pas arrêter ta prod pour ça, c'est clairement inexploitable" puis 15j après un sploit public sort, et là "oulala, patchez vite, on remonte l'index".
si on reprend l'idée des caméras USB, ouais t'as intérêt d'être vite mis au courant, mais c'est être mis au courant des bugs au sens large.
[^] # Re: N'importe quoi...
Posté par pasBill pasGates . Évalué à 2.
Quand j'étais à Microsoft, c'était notre boulot journalier: évaluer la dangerosité des bugs qui nous sont rapportés. Cela demande une expertise particulière en exploitation, mais c'est tout à fait faisable, la preuve étant que plein de gens font cela à longueur de journée dans leur boulot.
Et oui, ce n'est pas une science exacte, et il y a toujours la question de "on va être conservateur, et marquer des bugs exploitables si on est pas sûr" ou "c'est peu probable, marquons le non-exploitable" , mais cela a une valeur significative pour les utilisateurs (entreprises principalement). Il faut bien comprendre qu'à Microsoft on avait pas décidé de nous même de faire tout cela, ce sont les clients qui le demandaient, histoire de pouvoir mettre une priorité sur leur travail de test et deployment, parce que ces étapes ont un coût clair pour eux.
De même que rester exposés à des failles car ils ne sont même pas au courant qu'une faille existait et qu'ils n'ont dés lors pas patché, c'est un vrai gros problème pour eux.
[^] # Re: N'importe quoi...
Posté par octane . Évalué à 3.
"notre" ? Tu étais dans quelle équipe? Ca devait être cool comme job (0 ironie ici).
je vais me faire l'avocat du diable, mais pousser des correctifs le 2e mardi du mois, c'est quelque fois pénible aussi. "ooops le bug, là, il est pas complètement patché, va falloir attendre le mois prochain, allez salut"
[^] # Re: N'importe quoi...
Posté par pasBill pasGates . Évalué à 2.
J'étais le manager du team d'ingénieurs dans MSRC qui traite tous les rapports externes de vulnerabilités. Une dizaine d'ingénieurs sécurité dont le boulot est d'évaluer les rapports, à quel point le problème est exploitable, s'assurer que les patchs corrigent le problème correctement, trouver les variantes, … On a eu Flame, Duqu, etc… en avant première, c'était fun et assez unique.
Cela dépend, si une variante passe dans les mailles, ou si le bug originel est pour je ne sais quelle raison par corrigé proprement, selon les cas MS va sortir un patch en urgence et ne pas attendre le mois prochain.
De nouveau, cette cadence du 2eme mardi du mois ne vient pas de MS mais de demandes d'entreprises car cela simplifie leurs tests. On faisait les patchs sans cadence avant, c'est à la suite de demandes d'entreprises que l'on a changé.
[^] # Re: N'importe quoi...
Posté par Renault (site web personnel) . Évalué à 3.
Je comprends bien la problématique pour certains clients, mais dans ce cas, pourquoi ne pas fournir les correctifs au fil de l'eau avec une option dans Windows Update ou que sais-je qui ne récupère un lot de correctifs qu'une fois tous les mois ?
Cela pouvait satisfaire tout le monde, non ?
[^] # Re: N'importe quoi...
Posté par pasBill pasGates . Évalué à 2. Dernière modification le 06 janvier 2023 à 07:15.
Non.
Parce que des le moment où le patch est public c'est la course contre la montre pour patcher avant que le crime organisé et autre fans de malware fassent du reverse engineering sur le patch, trouvent la faille et l'exploitent.
[^] # Re: N'importe quoi...
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 3.
Alors on dit "quand j'étais chez Microsoft", sinon, cela signifie qu'on appartenait à la firme, ce qui ressemblerait à une forme d'esclavage, totalement interdite en France.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: N'importe quoi...
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2. Dernière modification le 01 février 2023 à 20:52.
Ne soyons pas trop dures avec les personnes dont le françois n'est pas la langue native (nous disons maternelle) ou qui ne pensent plus dans la langue du roy. Chez l'oncle Sam, les deux se disent de la même façon : « when I was at M » …et conceptuellement, cet esclavage moderne (appelé boulot dans la langue de Molière) ne leur pose pas de problème il me semble.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: N'importe quoi...
Posté par pasBill pasGates . Évalué à 1. Dernière modification le 02 février 2023 à 01:19.
Mais … si tu travaille à distance et que tu ne mets jamais les pieds au bureau, peux-tu décemment dire que tu étais chez ton employeur ?
[^] # Re: N'importe quoi...
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 3.
C'est pourquoi je préfère la formulation « travailler pour » (:
Pour le cas présent, même si tu n'es pas physiquement chez lui (i.e. dans ses murs) tu y es quand même virtuellement (vpn et poste de travail avec outils de l'entreprise …pour revenir au sujet) & tu restes son employé (pendant le contrat) et non sa possession (ta famille préfère au mieux que tu sois à elle et non à l'entreprise par le biais de laquelle tu les nourris)
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: N'importe quoi...
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 3.
J'ai connu, remarque, un type qui disait "je suis entré en Apple" (oui c'était un adorateur). Il s'est fait virer comme un malpropre lors d'un plan de licenciement peu de temps après.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: N'importe quoi...
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2. Dernière modification le 06 février 2023 à 05:08.
Il l’a croquée, elle a décidé de lui rester en travers de la gorge.
Neige blanche, les histoires d’amour finissent mal, en général.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: N'importe quoi...
Posté par pasBill pasGates . Évalué à 1.
Dernier exemple en date : https://twitter.com/Junior_Baines/status/1606253804088745986
[^] # Re: N'importe quoi...
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 5.
Indépendamment de ton amour de ce système et de sa non compétence, l'entreprise se doit bien de fournir le moyen de connexion fiable à son SI. Ton point c) c'est comme si tu demandais aux employés de venir au boulot avec leurs propres connexions. Toi qui comprend tout à la sécurité devrait comprendre qu'il est sain de séparer les usages mais visiblement non. Manque de bol pour toi, le législateur ne fait obligation à personne d'avoir un abonnement ni de l'utiliser pour le compte de l'entreprise.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: N'importe quoi...
Posté par pasBill pasGates . Évalué à 1.
Oh mais perso si il ne veut pas de laptop d'entreprise à la maison cela ne me gène pas. C'est son choix. Personne ne l'oblige à se connecter depuis chez lui, il est libre de choisir de prendre son velo ou sa voiture pour venir au boulot chaque fois qu'il a besoin de faire quelque chose.
Le laptop d'entreprise à la maison en ce qui me concerne c'est une option que l'employé a, pas une obligation, pour faire son boulot.
[^] # Re: N'importe quoi...
Posté par devnewton 🍺 (site web personnel) . Évalué à 4.
Avoir une DSI pénible, ce n'est pas une obligation.
Avec cette attitude tu vas faire fuir les employés compétents et constructifs. Bonne chance pour faire tourner la boite avec des incapables et des bénis oui oui.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: N'importe quoi...
Posté par pasBill pasGates . Évalué à 1. Dernière modification le 01 janvier 2023 à 20:11.
Il est pas constructif, et ne me semble pas compétent vu son approche qui lui fait affirmer des choses clairement dans fondement, si je perd ces gens là cela me va.
# DMZ
Posté par ekyo . Évalué à 10.
Je comprends ce que tu veux dire, je n'ai confiance qu'en les logiciels libres également.
Mais il faut pondérer la confiance que tu peux accorder en ta machine : tu as des microcodes, non libres, des uefi, non libres, des firmwares non libres, sans parler de tout ce qui peut être "codé en dur" dans le silicium de ses composants, etc etc. L'informatique entièrement libre est encore lointaine. Encore plus dans le cadre d'un téléphone, pile gsm non libre etc.
Pourquoi ne pas tout simplement acter que tu n'as pas confiance en ton pc du travail et le séparer du reste de ton réseau personnel via une DMZ ? Ton routeur a probablement cette fonctionnalité.
[^] # Re: DMZ
Posté par gUI (Mastodon) . Évalué à 10.
Ou en utilisant un réseau "guest" : souvent assez simple à mettre en place par le WiFi, un peu plus compliqué en filaire (utilisation de VLAN).
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: DMZ
Posté par tout . Évalué à 2.
Si on connecte au Wi-Fi invité un poste compromis, l'attaquant n'a aucune chance d'exploiter une faille de la box ou du routeur, mon réseau ne risque absolument rien ?
[^] # Re: DMZ
Posté par gUI (Mastodon) . Évalué à 6.
Si tu pars du principe que ton routeur/box n'est pas étanche, alors éteins-le de suite, il est peut-être attaqué en ce moment même par le WAN !
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: DMZ
Posté par tout . Évalué à -2. Dernière modification le 22 décembre 2022 à 18:39.
Les box ne me paraissent pas si inviolables que ça, ni plus ni moins qu'un autre équipement réseau.
https://www.01net.com/actualites/comment-des-box-francaises-ont-ete-mises-hors-service-par-une-cyberattaque-russe-2055437.html
https://www.zdnet.fr/actualites/orange-pres-de-20-000-livebox-touchees-par-une-faille-de-securite-wi-fi-39878445.htm
Et il y a pleins d'autres articles de ce genre.
Donc si je permet en plus à un PC portable de se connecter au Wi-Fi, c'est encore plus facile pour l'attaquant, il n'a même pas besoin de casser la protection sur le Wi-Fi.
[^] # Re: DMZ
Posté par octane . Évalué à 7.
et il y a eu dernièrement la compétition du pwn2own, qui comporte pas mal de routeurs. Ils se sont tous fait défoncer aussi bien LAN que WAN.
# Mais le RSSI a imposé d'installer Microsoft Defender APT....
Posté par root_rtfm . Évalué à 5.
Bonjour,
Le fait d'imposer cet outil, est peut-être lié à l'utilisation de service en ligne (ex : services Azure), je ne connais ni la société, ni le RSSI et ni votre fonction… parfois il est possible de discuter avec le service informatique…
Après je ne vois pas l'utilité de ce produit sur un Linux… c'est juste le nouveau nom de Microsoft Defender, qui surveille en plus le comportement des applications, ce que fait déjà apparmor sous Linux, et je comprends parfaitement la réticence à utiliser cette boite noire. Il ne faut pas oublier de Microsoft (et beaucoup d'autre) n'est pas très franc avec la collecte de données de fonctionnement (envoi de statistique désactivable que sur le version Pro, enregistrement avec une adresse mail de plus en plus obligatoire…)
Malheureusement, comme il s'agit d'une entreprise, elle a tout pouvoir pour d'imposer un environnement de travail sur ses PC et donc l'utilisation de Windows, d'autant plus si elle fournit le matériel. Dans ce cas, il reste la solution d'avoir 2 réseaux wifi, un perso et un dédié au télétravail… (par exemple).
[^] # Re: Mais le RSSI a imposé d'installer Microsoft Defender APT....
Posté par Misc (site web personnel) . Évalué à 10.
Non.
Primo, apparmor est pas présent partout (et ses politiques de confinement étaient assez nulles y a quelque années), et ensuite, ça ne fait pas la même chose du tout. Apparmor ne fait pas de rapports centralisés, Apparmor ne fait de vérification de hashes de fichiers connus comme malicieux, Apparmor ne va pas vérifier des comportements suspects comme lancer un truc en root.
Robert de la compta qui installe GCC sur son poste, c'est au mieux quelqu'un qui va installer un truc que le support va devoir se taper "mais si regarde, tu peux aller plus vite avec ce module noyau qui bypasse le pci pour nvidia". Au pire, c'est pas Robert mais un malware.
Bien sur, ça va être différent de Jeanne la spécialiste de l'embarqué qui installe rust pour le nouveau microcontrôleur à missile de la boite, mais la question du classement des alertes, ça implique d'avoir des alertes.
# Haha
Posté par Watchwolf . Évalué à 10.
Je pense que je te dirais tous simplement : soit tu install l'outil, soit on te met l'environnement de l'entreprise (Windows donc).
Et si ça ne te plaît pas d'utiliser les outils de l'entreprise sur ton réseau personnel, vient au bureau :)
# Vu sous un autre angle
Posté par Astaoth . Évalué à 10.
Sans être spécialement dans le télétravail, la question que je me pose est celle de l'utilisation d'Office 365 et du RGPD.
D'un côté, une plateforme ne peut pas traiter les données personnelles d'un utilisateur sans son consentement (enfin oui et non, ca dépend, mais en gros résumé quoi). Lorsque j'ai signé mon contrat avec mon employeur, je ne me souviens pas avoir consenti à ce genre de traitement, et encore moins quand le client a créé un compte à mon nom. Je n'ai aucune relation contractuelle direct avec mon client. Est-ce que le traitement de données perso est légal dans ce cas ?
Concernant les traitements des données, les structures utilisent de plus en plus Office 365. Pourtant, il semblerait qu'Office 365 ne respecte pas le RGPD et fasse des transferts de données vers les USA. Du coup comment est-ce que la question du transfert de ses données persos vers les USA par un produit utilisé par un client avec lequel je n'ai pas de relation contractuelle directe se gère ?
Pour revenir au télétravail, celui-ci implique de traiter l'adresse IP personnelle de l'utilisateur, parfois avec des produits n'appartenant pas à la structure (par exemple Office 365). De même, comment est couvert cet aspect d'un point de vu légal ?
Auparavant, lorsqu'on ne souhaitait avoir rien à faire avec Microsoft au niveau de ses données perso, c'était envisageable : l'Active Directory était uniquement local, les serveurs Exchanges aussi. Mais de nos jours avec le cloud Azure, ca a l'air d'être totalement impossible. Au lieu de mettre en balance la volonté de ne pas vouloir fournir ses données persos à Microsoft contre l'utilisation d'un ordi perso, maintenant c'est pratiquement contre avoir un travail pour vivre que ca se fait.
Emacs le fait depuis 30 ans.
# Mouais
Posté par 2PetitsVerres . Évalué à 10.
Si tu as la maitrise de ton réseau, j'imagine que tu es capable de configurer le routeur (que tu maitrise) pour qu'un des ports, celui où tu branches ton PC du boulot, soit sur un réseau séparé et qui n'aura accès qu'à internet, et pas au reste de ton reseau.
Voila, problème résolu, grâce à ta maitrise parfaite du réseau.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
# Zero Trust / Du besoin des mouchards pour assurer un minimum de sécurité
Posté par SpaceFox (site web personnel, Mastodon) . Évalué à 10.
La difficulté de la gestion de flotte informatique moderne, c’est qu’elle s’est massivement compliquée des dernières années, avec l’arrivée quotidienne de deux changements majeurs :
L’immense présence d’outils cloud fait que, en pratique, tout ce qui a trait au travail (et donc n’importe quelle donnée un peu sensible pour l’entreprise) est susceptible de transiter en HTTPS sur des URLs non maitrisées à priori, pour être stocké on ne sais où. C’est l’un des arguments majeurs au refus qu’ont encore certaines entreprises pour refuser des solutions de type « cloud public », au profit d’outils internes ou de type « cloud privé » (sur des serveurs dédiés, avec des URLs connues). D’un point de vue administration de flotte et de réseau, ça complique énormément les choses, parce que ça rends très difficile la détermination de « est-ce un flux de données légitime ou non » ?
Mais le vrai problème (du point de vue d’un gestionnaire de flotte et de réseau, pas de celui des employés), c’est l’arrivée massive du télétravail, avec des machines d’entreprise qui d’un coup peuvent se retrouver n’importe où et se connecter avec n’importe quel point d’accès. On est très loin du cas facile d’avant, où la flotte est majoritairement constituée d’ordinateurs fixes avec une connexion filaire (ou au pire le wifi local) jusqu’à un point d’accès Internet unique, devant lequel on peut coller un bon gros pare-feu et des outils de monitoring.
Maintenant, il faut un serveur VPN bien configuré, qui tient la charge (c’est pas trivial, les Fortinet d’il y a 10 ans avaient de vraies limitations fortes sur le nombre de connexions simultanées et le débit par exemple), une bonne configuration des clients avec des questions non triviales. Par exemple, doit-on autoriser les postes clients à accéder à quoi que ce soit sur le réseau si le VPN est désactivé ? La sécurité répondra que « non », le pragmatisme peut se demander s’il est pertinent de surcharger le serveur VPN et d’interdire aux employés de travailler en cas de panne de celui-ci alors que presque tout est sur le cloud, accessible sans VPN. Mais si on accepte une connexion au réseau hors VPN, comment monitorer ce qui circule entre le poste client et Internet ? Parce que rien ne garantit que le poste client ne va pas se connecter à travers un réseau complètement vérolé. Pire : sur une entreprise moyenne ou grosse, on a plutôt la certitude que ça sera le cas chez au moins un des salariés.
En résumé, si tu possèdes un réseau sain et maitrisé chez toi, les administrateurs n’ont aucun moyen de le vérifier, mais surtout ils doivent travailler en partant du principe que chez tout le monde, c’est la situation inverse.
De même sur la bonne gestion du poste : on sait très bien que les procédures de sécurité et les mises à jour ne seront pas faites si elles ne sont pas forcées. Et ça peut aller loin : j’ai connu une entreprise dont certains salariés n’avaient pas redémarré leur poste (simple hibernation/sortie) depuis plus d’un an pour éviter une mise à jour qui les emmerdait (sans autre raison que le temps perdu à la mise à jour et à tout relancer derrière), avant que l’administration ne se décide à la forcer et à interdire toute connexion au réseau des PC pas mis à jour. Même si tu fais tout bien, l’administration système doit partir du principe que tout le monde ne jouera pas le jeu.
Et les risques en cas de faille ne sont pas hypothétiques : sans réfléchir, j’ai connaissance de 4 entreprises avec lesquelles j’ai travaillé qui se sont mangées un ransomware. C’est que les cas qui ont été assez publics pour que je le sache, et ça ne concerne que ce problème précis, donc pas les attaques plus subtiles et discrètes.
Donc, qu’est-ce qu’on peut faire ? Eh bien, il n’y a pas tellement de solutions : forcer les utilisateurs à mettre à jour leurs postes de travail, interdire la désactivation des outils de sécurité. Et surtout, des logiciels espions (parce qu’il s’agit bien de ça) sur les postes qui remontent des alertes en cas de comportement inhabituel, pour que le gestionnaire de flotte puisse détecter les comportements anormaux et réagir avant de voir tout le réseau corrompu et toutes les machines chiffrées.
Tout ça rejoint le modèle Zero Trust (lien vers l’ANSSI) qui est de plus en plus mis en place, voire nécessaire.
Oui, c’est chiant parce qu’on a des composants qui font on ne sait quoi sur nos machines.
Oui, c’est chiant parce que ça bouffe une puissance incroyable.
Oui, c’est pénible parce qu’il y a des comportement vraiment étranges et gênants (exemple : Windows Defender qui scanne les fichiers avant leur suppression).
Oui, certains de ces outils vont beaucoup trop loin dans ce qu’ils récoltent et envoient les résultats n’importe où, et oui, c’est un problème.
Est-ce que j’ai mieux à proposer ? En théorie oui, en pratique, rien qui survive aux faits dans une entreprise de plus de une personne (moi-même), et encore.
Qu’est-ce qu’on peut faire pour bien séparer sa vie privée des données de sa vie « d’entreprise » ?
Dans tous les cas je n’imagine pas qu’un contrat de télétravail moderne ne puisse prévoir de financer une connexion Internet séparée. En fait, les indemnités des différents accords dont j’ai connaissance sont plutôt du côté ridicule de la force.
Pour finir, j’ai une vraie question : si demain vous devriez gérer une flotte d’ordinateurs mixte (Linux + Windows + éventuellement Mac) avec les contraintes sus-nommées (aucune confiance dans les utilisateurs malgré toute leur bonne volonté), qu’est-ce que vous auriez comme solution ?
La connaissance libre : https://zestedesavoir.com
[^] # Re: Zero Trust / Du besoin des mouchards pour assurer un minimum de sécurité
Posté par Élafru . Évalué à 5.
Je pense que tu as bien résumé toute la problématique. Je suis le premier à pester contre l'ordinateur sous Windows et sa ribambelle d'outils mystérieux et privatifs que me fournissent ma grosse boîte. Mais je reconnais sans soucis que si j'étais au service informatique et responsable de la sécurité de la flotte, j'en mènerais vraiment pas large.
[^] # Re: Zero Trust / Du besoin des mouchards pour assurer un minimum de sécurité
Posté par SpaceFox (site web personnel, Mastodon) . Évalué à 4.
J’ai fait de l’administration système / de flotte à une époque (quand c’était plus simple), et c’est pour ce genre de problématiques que je suis bien content de ne plus en faire.
La connaissance libre : https://zestedesavoir.com
[^] # Re: Zero Trust / Du besoin des mouchards pour assurer un minimum de sécurité
Posté par devnewton 🍺 (site web personnel) . Évalué à 5. Dernière modification le 20 décembre 2022 à 21:49.
Le Zero Trust devrait d'abord s'appliquer au réseau de l'entreprise et à la DSI. Pourquoi part-on du principe que ces deux instances sont sécurisées?
Qu'est-ce qui me prouve qu'ils font bien leurs mises à jour ? Qu'ils ne se font pas hacker ? Que leurs employés sont de confiance ?
A quand l'installation de FO Firewall et de CGT Defender sur tous les équipements de l'entreprise ?
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Zero Trust / Du besoin des mouchards pour assurer un minimum de sécurité
Posté par SpaceFox (site web personnel, Mastodon) . Évalué à 5.
Quelque part, c’est le job de l’administration système de faire en sorte que le cœur de réseau et de système soit correctement sécurisé – tout comme le reste.
On peut bien sûr partir du principe que personne ne fait correctement son travail dans l’entreprise, et que le réseau et la DSI sont perclus de failles (non pas qu’il n’y en ait aucune – c’est impossible – mais que l’état de l’art ne soit pas respecté). Mais l’exercice n’est pas très intéressant intellectuellement, et la principale réponse face à une entreprise dans cet état, quand on est simple employé, c’est de changer d’entreprise. Parce que généralement le reste est à l’avenant.
La connaissance libre : https://zestedesavoir.com
[^] # Re: Zero Trust / Du besoin des mouchards pour assurer un minimum de sécurité
Posté par devnewton 🍺 (site web personnel) . Évalué à 6.
Une autre (bonne) réponse est celle de l'auteur du journal : remonter les problèmes et proposer des solutions.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Zero Trust / Du besoin des mouchards pour assurer un minimum de sécurité
Posté par devnewton 🍺 (site web personnel) . Évalué à 7. Dernière modification le 21 décembre 2022 à 10:06.
Autre chose: est-ce que l'expression "cœur de réseau" a encore un sens aujourd'hui ?
Il reste quoi dans le cœur de réseau ? L'appli MyFeuilleDeTemps développée en ASP qui ne tourne qu'avec IE5 et qui doit être externalisé l'an prochain ?
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Zero Trust / Du besoin des mouchards pour assurer un minimum de sécurité
Posté par SpaceFox (site web personnel, Mastodon) . Évalué à 4.
Ça dépend beaucoup des entreprises. On trouve encore beaucoup d’entreprises qui ont des outils en interne (dépôts de code, intégration continue, etc). soit par volonté de ne pas mettre ces outils sur le cloud, soit parce qu’une migration est prévue mais pas encore effectuée. Dans ce cas, ça implique aussi tout le réseau interne aux locaux et sa configuration particulière – celle qui fait que tu n’as pas besoin de VPN.
Mais effectivement, certaines entreprises peuvent avoir un réseau interne qui se résume à une passerelle sur Internet parce qu’il n’y a plus rien en « interne ». L’avantage dans ce cas, c’est que la question de la sécurisation du cœur de réseau devient mineure.
Reste la question de la confiance en la DSI, qui détient toujours les droits d’administration des outils de l’entreprise (qu’ils soient hébergés par celle-ci ou non), et là ma remarque précédente s’applique toujours.
La connaissance libre : https://zestedesavoir.com
# Dans l'éducation nationale
Posté par samydb . Évalué à 4. Dernière modification le 20 décembre 2022 à 16:42.
J'ai un réseau local à usage pro, avec des postes Debian ou apparentés, derrière une box fibre et un routeur WRT-like, basés "at home". Ma femme, qui a un poste admin/pédago dans une structure de l'éducation nationale, a un jour dans la semaine hors site (donc dans mon bureau). L'employeur public proposait un ordi antédiluvien excessivement encombrant et lourd (je n'ai pas plus de détails). On a donc réquisitionné le portable lycéen de la région Ile de France de junior, inutilisé au quotidien, pour l'accès à la plateforme ENT (essentiellement messagerie), qui nécessite un Windows.
C'est donc, ici en tout cas, et comme souvent, au salarié de se "dém…rder" et la politique de l'autruche côté employeur, en matière de sécurité en mode télétravail.
# bin...
Posté par octane . Évalué à 10.
BIOS y compris? firmware de tes cartes réseaux? De ton disque dur? Si oui, chapeau.
quel dépôt? Distro? npm? pypy? github? il n'a pas été attaqué?
Même pas une box internet?
bravo.
Par contre, ta banque, elle est bien sécurisée? Et ton médecin?
Pourquoi tu ne segmentes pas ton réseau?
Alors… Si tu crois qu'être sous linux t'empêche de te faire infiltrer, I have some bad news for you kid.
[^] # Re: bin...
Posté par SpaceFox (site web personnel, Mastodon) . Évalué à 8. Dernière modification le 20 décembre 2022 à 17:39.
D’ailleurs, pourquoi l’ordiphone ? Tous les PC pro que j’ai eu ces 6 dernières années avaient un emplacement SIM pour pouvoir les connecter directement au réseau mobile (HP, Lenovo).
Un énorme +1. Surtout si tes Linux ne sont pas à jour (je ne dis pas que c’est ton cas, mais c’est quelque chose que j’ai trop souvent vu).
La connaissance libre : https://zestedesavoir.com
[^] # Re: bin...
Posté par ze0 . Évalué à 4.
c'est hyper variable ça. Dans ma boite tout est en Dell sans emplacement SIM. En général quand on a ça c'est parce que le besoin est la.
[^] # Re: bin...
Posté par Psychofox (Mastodon) . Évalué à 2.
Je crois que c'est surtout lié à ta boite qui se fournit dans la gamme "familiale". Je crois que tous les Dell Latitude on un espace pour carte SIM et s'ils n'ont pas la carte WWAN d'origine elle peut s'ajouter en option.
[^] # Re: bin...
Posté par SpaceFox (site web personnel, Mastodon) . Évalué à 2.
C’est ce à quoi je faisais référence, oui (sans vérifier les pratiques exactes de Dell).
D’autre part, dès que l’entreprise est un peu grande, il y a souvent des contrats négociés avec le fournisseur de matériel pour seulement quelques variantes possibles du matériel (le PC ultra-portable pour commercial ou autre personne se déplaçant beaucoup, le PC de base pour besoins bureautiques et le PC puissant pour les développeurs ou autres). Matériel qui peut se retrouver plus cher qu’à l’achat dans le commerce, sous prétextes de disponibilités, SAV ou que sais-je…
La connaissance libre : https://zestedesavoir.com
[^] # Re: bin...
Posté par ze0 . Évalué à 1.
et c'est une raison de de pas sécuriser notre infra perso ?
parce qu'il y a peu être, potentiellement une faille quelque part on dois rien sécuriser ?
ça c'est vrai, c'est la solution la plus simple au problème je trouve.
[^] # Re: bin...
Posté par octane . Évalué à 5.
ah non non non, c'est juste en réaction à son message qui dit :
"je suis sous linux" == "mes données personnelles, mes contacts sont bien protégés"
autant sécuriser chez soi c'est bien, mais comme nos données personnelles sont éparpillées chez des gens qui en prennent moins soin que nous, c'est dur de dire qu'elles sont protégées :-/
# Le cas des utilisateurs nomades
Posté par devnewton 🍺 (site web personnel) . Évalué à 7.
L'entreprise sera responsable si ses outils font un mauvais usage des réseaux. Le journal parle du réseau personnel du salarié en télétravail, mais la DSI doit faire aussi attention à d'autres cas:
Dans tous ces cas, le réseau n'appartient pas à l'entreprise, elle doit en faire un usage modéré (pas de mises à jour de plusieurs Go sans prévenir) et légal (pas de scan).
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Le cas des utilisateurs nomades
Posté par tout . Évalué à 9.
Il y a quelques années, un expert de la banque ******** était venu installer un logiciel pour passer des ordres de transfert bancaire, sur le poste de la comptable. Il y avait branché une clé USB qu'il trimballait d'entreprise en entreprise, collectant au passage tous les virus qui traînaient. On lui a fait la remarque, il nous a regardé de haut, nous a répondu qu'on n'y connaissait rien en sécurité et qu'à la banque ******, il y avait plusieurs milliers de spécialistes en informatique, qu'on ne risquait rien. On lui a pris sa clé, on l'a scannée, il y avait une dizaine de virus dessus (détectés) et quand on a scanné le poste de la comptabilité sous Windows, il avait aussi été infecté. Il n'y avait pas encore de rançongiciel à l'époque.
[^] # Re: Le cas des utilisateurs nomades
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 3. Dernière modification le 29 décembre 2022 à 00:00.
Raison pour laquelle il faut demander une puce sur un matériel contrôlé par l'entreprise …qui du coup aura le contrôle de son réseau et ne squattera pas celui perso du travailleur.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Le cas des utilisateurs nomades
Posté par devnewton 🍺 (site web personnel) . Évalué à 3. Dernière modification le 29 décembre 2022 à 00:26.
Tiens ton post me fait penser que même si l'entreprise te fournit un modem 4g, le réseau ne lui appartient toujours pas (à moins d'être un FAI) :-)
Curieusement on comprends mieux avec une voiture de fonction qui doit être conforme au code de la route, sauf si elle roule sur le circuit privé de l'entreprise :-)
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Le cas des utilisateurs nomades
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 3.
Oui (pas plus la fibre sur laquelle l'entreprise sort ne lui appartient en général) Mais l'idée est là : la 4g de l'entreprise (et non celle du particulier qui n'a pas une dmz bien configurée et tout) en passant dans le vpn de l'entreprise et en utilisant le poste de l'entreprise, bref être au boulot pas qu'à moitié et que les œufs ne soient pas dans le même panier…
Dans le cas présent, je pense que le journal demande justement la voiture de fonction au lieu d'utiliser le super cadenas de l'entreprise sur le vélo avec lequel il va en balade… ;-
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.